Solución de problemas de configuración de Firewall de Windows en el Service Pack 2 de Windows XP para usuarios avanzados

Seleccione idioma Seleccione idioma
Id. de artículo: 875357 - Ver los productos a los que se aplica este artículo
Aviso
Este artículo está destinado a los usuarios avanzados del equipo. Si no se siente cómodo con la solución avanzada de problemas, puede pedir ayuda a alguien o ponerse en contacto con el servicio de soporte técnico. Para obtener información al respecto, visite el siguiente sitio web de Microsoft:
http://support.microsoft.com/contactus/?ln=es#tab0
Expandir todo | Contraer todo

En esta página

Resumen

El Service Pack 2 (SP2) de Microsoft Windows XP incluye el Firewall de Microsoft Windows, que es el software de firewall actualizado que reemplaza al Firewall de conexión a Internet (ICF). Si el Firewall de Microsoft Windows está bloqueando un puerto que utiliza un servicio o un programa, puede configurar el Firewall de Windows para crear una excepción. El Firewall de Windows podría bloquear un programa o un servicio si se cumplen las condiciones siguientes:
  • Los programas no responden a una solicitud de un cliente.
  • Los programas del cliente no reciben datos del servidor.
Una alerta de seguridad del Firewall de Windows puede notificarle que esta aplicación está bloqueando un programa determinado. Cuando se produce esta situación, puede desbloquear el programa si selecciona Desbloquear este programa en el cuadro de diálogo Alerta de seguridad. Para ayudar a determinar qué programas y puertos están bloqueados, puede configurar el Firewall de Windows para que registre los paquetes perdidos. Con el Ayudante de Netsh del Firewall de Windows, puede configurar el Firewall de Windows y el registro del Firewall de Windows en el símbolo del sistema. La compatibilidad de programas no tiene por qué ser siempre el problema. La configuración de la directiva de grupo también puede impedir que los programas se ejecuten. El Service Pack 2 (SP2) de Windows XP incluye varias utilidades que puede emplear para solucionar problemas del Firewall de Windows.

INTRODUCCIÓN

La mejor manera de solucionar problemas de bloqueo del firewall consiste en modificar los programas para que funcionen con firewalls de filtrado que conservan información de estado. Si no se puede modificar un programa, es posible configurar el Firewall de Windows a fin de agregar excepciones para puertos y programas específicos. En este artículo se describen los síntomas de error relacionados con la configuración predeterminada del firewall del Service Pack 2 de Windows XP, cómo configurar excepciones para los puertos y programas y cómo solucionar problemas de configuración del firewall.

Más información

Los errores relacionados con la configuración predeterminada del firewall aparecen de dos maneras. Los programas del cliente pueden no recibir datos de un servidor. Los programas de servidor que se ejecutan en un equipo basado en Windows XP pueden no responder a solicitudes de clientes.
Si un programa está bloqueado, puede recibir una alerta de seguridad del Firewall de Windows similar a la siguiente:
Contraer esta imagenAmpliar esta imagen
2867993
Para obtener información acerca de estos síntomas y conocer los pasos avanzados para la solución de estos problemas, consulte la sección "Solución avanzada de problemas".

Configuración del Firewall de Windows Firewall mediante la Alerta de seguridad del Firewall de Windows

Para desbloquear el programa, haga clic en Desbloquear en el cuadro de diálogo Alerta de seguridad.

Configuración del Firewall de Windows mediante el Centro de seguridad de Windows

Agregar una excepción de programa

Cuando agrega un programa a la lista de excepciones, habilita el firewall para abrir intervalos de puertos que podrían cambiar cada vez que se ejecute el programa. Para agregar una excepción de programa, siga estos pasos:
  1. Utilice una cuenta de administrador para iniciar sesión.
  2. Haga clic en Inicio, seleccione Ejecutar, escriba wscui.cpl y, a continuación, haga clic en Aceptar.
  3. En el Centro de seguridad de Windows, haga clic en Firewall de Windows.
  4. En la pestaña Excepciones, haga clic en Agregar programa.
  5. En la lista de programas, haga clic en el nombre del programa que desee agregar y, a continuación, haga clic en Aceptar. Si el nombre del programa no se encuentra en la lista de programas, haga clic en Examinar para localizar el programa y haga clic en Aceptar. Nota: si no sabe la ubicación del programa, póngase en contacto con el proveedor del programa para averiguarla.

    Para obtener información sobre el fabricante del hardware, visite el siguiente sitio web:
    http://support.microsoft.com/gp/vendors/es-es
  6. Haga clic en Aceptar.
  7. Pruebe el programa para comprobar que la configuración del firewall es correcta.
Si sigue experimentando problemas, puede pedir ayuda a alguien o ponerse en contacto con el soporte técnico. Para obtener información al respecto, visite el siguiente sitio web de Microsoft:
http://support.microsoft.com/contactus?ln=es#tab0

Solución avanzada de problemas

Esta sección está diseñada para usuarios con conocimientos informáticos avanzados. Si no se siente cómodo con la solución avanzada de problemas, puede pedir ayuda a alguien o ponerse en contacto con el servicio de soporte técnico. Para obtener información al respecto, visite el siguiente sitio web de Microsoft:
http://support.microsoft.com/contactus

Reconocer los síntomas del error

Los errores relacionados con la configuración predeterminada del firewall aparecen de dos maneras:
  • Los programas del cliente pueden no recibir datos de un servidor. Por ejemplo, los siguientes programas del cliente pueden no recibir datos:
    • Un cliente FTP
    • Software de transmisión de multimedia
    • Nuevas notificaciones de correo en algunos programas de correo electrónico
  • Los programas de servidor que se ejecutan en un equipo basado en Windows XP pueden no responder a solicitudes de clientes. Por ejemplo, los siguientes programas del servidor pueden no responder:
    • Un programa de servidor web, como Internet Information Services (IIS)
    • Escritorio remoto
    • Uso compartido de archivos
    Notas
    • Los errores de los programas de red no se limitan a los problemas del firewall. Estos errores pueden deberse a cambios en la seguridad de RPC o DCOM. Por lo tanto, tiene que determinar si el error va acompañado de una alerta de seguridad del Firewall de Windows que indique que se está bloqueando un programa.
    • Los errores del servicio no van acompañados de una alerta de seguridad del Firewall de Windows porque los servicios no se asocian normalmente a una sesión iniciada por un usuario. Si el error está relacionado con un servicio, configure el firewall tal como se describió en la sección "Configuración del Firewall de Windows mediante el Centro de seguridad de Windows".

Agregar una excepción de puerto

Si el problema no se resuelve al agregar un programa a la lista de excepciones, puede agregar puertos manualmente. Para ello, en primer lugar debe identificar los puertos que utiliza el programa. Una manera confiable de determinar el uso de los puertos consiste en ponerse en contacto con el proveedor del programa. Si no puede ponerse en contacto con un proveedor o si no hay disponible una lista de puertos, utilice la herramienta Netstat.exe para identificar los puertos que están en uso.
Identificar los puertos
  1. Inicie el programa e intente utilizar sus funciones de red. Por ejemplo, con un programa multimedia, intente iniciar una secuencia de audio. Con un servidor web, intente iniciar el servicio.
  2. Haga clic en Inicio, Ejecutar, escriba cmd y haga clic en Aceptar.
  3. En el símbolo del sistema, escriba netstat ?ano > netstat.txt y, a continuación, presione ENTRAR. Este comando crea el archivo Netstat.txt. Este archivo muestra todos los puertos de escucha.

    Contraer esta imagenAmpliar esta imagen
    2867994


  4. En el símbolo del sistema, escriba tasklist > tasklist.txt y, a continuación, presione ENTRAR. Si el programa en cuestión se ejecuta como servicio, escriba tasklist /svc > tasklist.txt en lugar de tasklist > tasklist.txt para que se enumeren los servicios que se cargan en cada proceso.

    Contraer esta imagenAmpliar esta imagen
    2867995


    Contraer esta imagenAmpliar esta imagen
    2867996


  5. Abra el archivo Tasklist.txt y localice el programa cuyos problemas está solucionando. Anote el Identificador del proceso y, a continuación, abra el archivo Netstat.txt. Observe las entradas asociadas con el Identificador de proceso y el protocolo que se utiliza.

    Contraer esta imagenAmpliar esta imagen
    2867997
Si los números de puerto correspondientes al proceso son menores que 1024, probablemente no cambiarán. Si los números que se utilizan son mayores o iguales que 1024, el programa puede utilizar un intervalo de puertos. En consecuencia, quizás no se resuelva el problema al abrir puertos individuales.

Agregar la excepción de puerto
  1. Haga clic en Inicio, seleccione Ejecutar, escriba wscui.cpl y, a continuación, haga clic en Aceptar.
  2. En el Centro de seguridad de Windows, haga clic en Firewall de Windows.

    Contraer esta imagenAmpliar esta imagen
    2867998


  3. Haga clic en la pestaña Excepciones y en Agregar puerto para abrir el cuadro de diálogo Agregar un puerto.

    Contraer esta imagenAmpliar esta imagen
    2867999


  4. Escriba un nombre descriptivo para la excepción de puerto y el número de puerto que utiliza el programa y, a continuación, seleccione el protocolo TCP o UDP.

    Contraer esta imagenAmpliar esta imagen
    2868000


  5. Haga clic en Cambiar ámbito.

    Contraer esta imagenAmpliar esta imagen
    2868001
  6. Consulte o establezca el ámbito de la excepción de puerto y, a continuación, haga clic en Aceptar.

    Contraer esta imagenAmpliar esta imagen
    2868002


  7. Haga clic en Aceptar para cerrar el cuadro de diálogo Agregar un puerto.

    Contraer esta imagenAmpliar esta imagen
    2868003


  8. Para comprobar que la configuración es la correcta, pruebe el programa.

Uso del registro

Puede habilitar el registro como ayuda para identificar el origen del tráfico entrante y obtener información detallada acerca de qué tráfico se está bloqueando. %Windir%\pfirewall.log es el archivo de registro predeterminado. Para habilitar el registro, siga estos pasos:
  1. Haga clic en Inicio y en Ejecutar, escriba firewall.cpl y haga clic en Aceptar.
  2. Haga clic en la pestaña Opciones avanzadas.

    Contraer esta imagenAmpliar esta imagen
    2868004


  3. En la zona Registro de seguridad, haga clic en Configuración.

    Contraer esta imagenAmpliar esta imagen
    2868005


  4. Active la casilla Registro paquetes perdidos y, a continuación, haga clic en Aceptar.

    Contraer esta imagenAmpliar esta imagen
    2868006


  5. Haga clic en Aceptar.

    Contraer esta imagenAmpliar esta imagen
    2868007

Nota: el tráfico saliente correcto no se registra. El tráfico saliente que no está bloqueado no se registra.


Interpretación del archivo de registro
Se recopila la siguiente información de registro por cada paquete registrado:

Contraer esta tablaAmpliar esta tabla
CamposDescripciónEjemplo
FechaMuestra el año, mes y día en que tuvo lugar la transacción registrada. Las fechas se registran con el formato AAAA-MM-DD, donde AAAA es el año, MM es el mes y DD es el día.2001-01-27
HoraMuestra la hora, minuto y segundo en que tuvo lugar la transacción registrada. La hora se registra con el formato: HH:MM:SS, donde HH es la hora en formato de 24 horas, MM es el número de minutos y SS es el número de segundos.21:36:59
AcciónIndica el funcionamiento que observó el firewall. Las opciones disponibles en el firewall son OPEN, CLOSE, DROP e INFO-EVENTS-LOST. Una acción INFO-EVENTS-LOST indica el número de sucesos que ocurrieron pero no se anotaron en el registro.OPEN
ProtocoloMuestra el protocolo que se utilizó para la comunicación. Una entrada de protocolo también puede ser un número para los paquetes que no utilizan TCP, UDP o ICMP.TCP
src-ipMuestra la dirección IP original o la del equipo que intenta establecer comunicación.192.168.0.1
dst-ipMuestra la dirección IP de destino de un intento de comunicación.192.168.0.1
src-portMuestra el número del puerto de origen del equipo que realizó el envío. Una entrada src-port se registra en forma de número entero entre 1 y 65.535. Solo TCP y UDP muestran una entrada src-port válida. Todos los demás protocolos muestran una entrada src-port de guión (-).4039
dst-portMuestra el número del puerto del equipo de destino. Una entrada dst-port se registra en forma de número entero entre 1 y 65.535. Solo TCP y UDP muestran una entrada dst-port válida. Todos los demás protocolos muestran una entrada dst-port de guión (-).53
tamañoMuestra el tamaño del paquete en bytes.60
tcpflagsMuestra los indicadores de control de TCP que se encuentran en el encabezado TCP de un paquete IP:
  • Ack: confirmación de campo significativo
  • Fin: no hay más datos del remitente
  • Psh: función de inserción
  • Rst: restablecer la conexión
  • Syn: sincronizar los números de secuencia
  • Urg: campo Puntero urgente significativo
Los indicadores se escriben en mayúsculas.
AFP
tcpsynMuestra el número de secuencia TCP en el paquete.1315819770
tcpackMuestra el número de confirmación TCP en el paquete.0
tcpwinMuestra el tamaño de la ventana de TCP en bytes en el paquete.64240
icmptypeMuestra un número que representa el campo Tipo del mensaje ICMP.8
icmpcodeMuestra un número que representa el campo Código del mensaje ICMP.0
infoMuestra una entrada de información que depende del tipo de acción que tuvo lugar. Por ejemplo, una acción INFO-EVENTS-LOST crea una entrada con el número de sucesos que se produjeron pero no se anotaron en el registro desde el momento de la última aparición de ese tipo de suceso.23

Nota: el guión (-) se utiliza en los campos donde no hay información disponible para una entrada.

Uso del soporte en línea de comandos

Se ha agregado el Ayudante de Netsh del Firewall de Windows a Windows XP en el Microsoft Advanced Networking Pack. Esta ayuda de la línea de comandos se aplicaba anteriormente al Firewall de Windows IPv6. Con el Service Pack 2 de Windows XP, la ayuda incluye ahora soporte técnico para configurar IPv4.

Con el Ayudante de Netsh, puede:
  • Configurar el estado predeterminado del Firewall de Windows. (Las opciones incluyen Desactivado, Activado y Activado sin excepciones).
  • Configurar los puertos que deben estar abiertos.
  • Configurar los puertos para habilitar el acceso global o restringir el acceso a la subred local.
  • Establecer los puertos que se abrirán en todas las interfaces o solo en una específica.
  • Configurar las opciones de registro.
  • Configurar las opciones de control del Protocolo de mensajes de control de Internet (ICMP).
  • Agregar o quitar programas de la lista de excepciones.
Estas opciones de configuración se aplican al Firewall de Windows IPv4 e IPv6 excepto en los casos en los que no existe funcionalidad específica en la versión del Firewall de Windows.
Recopilación de datos de diagnóstico
Es posible recuperar información de configuración y estado del Firewall de Windows en la línea de comandos mediante la herramienta Netsh.exe. Esta herramienta agrega compatibilidad con el firewall IPv4 en el siguiente contexto Netsh:
netsh firewall
Para emplear este contexto, escriba netsh firewall en el símbolo del sistema y utilice tantos comandos Netsh adicionales como sea necesario. Los comandos siguientes se pueden utilizar para recopilar información de configuración y estado del firewall:
  • Netsh firewall show state
  • Netsh firewall show config

Compare el resultado de estos comandos con el del comando netstat ?ano para identificar los programas que hayan estado escuchando en los puertos abiertos y no dispongan de las excepciones correspondientes en la configuración del firewall. Los comandos de configuración y recopilación de datos admitidos se enumeran en las tablas siguientes.

Nota: la configuración solo puede ser modificada por un administrador.

Recopilación de datos
Contraer esta tablaAmpliar esta tabla
ComandoDescripción
show allowedprogramMuestra los programas permitidos.
show configMuestra información detallada acerca de la configuración local.
show currentprofileMuestra el perfil actual.
show icmpsettingMuestra la configuración de ICMP.
show loggingMuestra la configuración de registro.
show opmodeMuestra el modo de funcionamiento.
show portopeningMuestra los puertos con excepciones.
show serviceMuestra los servicios.
show stateMuestra la información de estado actual.
show notificationsMuestra la configuración actual de las notificaciones.

Configuración
Contraer esta tablaAmpliar esta tabla
ComandoDescripción
add allowedprogramSe utiliza para agregar tráfico con excepciones especificando el nombre de archivo del programa.
set allowedprogramSe utiliza para modificar la configuración de un programa permitido existente.
delete allowedprogramSe utiliza para eliminar un programa permitido existente.
set icmpsettingSe utiliza para especificar el tráfico ICMP permitido.
set loggingSe utiliza para especificar las opciones de registro del Firewall de Windows globalmente o para una conexión específica (interfaz).
set opmodeSe utiliza para especificar el modo de funcionamiento del Firewall de Windows globalmente o para una conexión específica (interfaz).
add portopeningSe utiliza para agregar tráfico con excepciones definiendo un puerto TCP o UDP.
set portopeningSe utiliza para modificar las opciones de un puerto TCP o UDP abierto.
delete portopeningSe utiliza para eliminar un puerto TCP o UDP abierto.
set serviceSe utiliza para habilitar o descartar el tráfico RPC y DCOM, el uso compartido de impresoras y archivos y el tráfico UPnP.
set notificationsSe utiliza para especificar si se habilitan las notificaciones al usuario cuando los programas intentan abrir puertos.
resetRestablece la configuración del firewall a los valores predeterminados. Esto proporciona la misma funcionalidad que el botón Restaurar valores predeterminados de la interfaz del Firewall de Windows.

Solución de problemas del firewall

Además de los problemas de compatibilidad de programas, el Firewall de Windows puede presentar otros problemas. Siga estos pasos para diagnosticarlos:
  1. Para comprobar si TCP/IP funciona correctamente, utilice el comando ping con el fin de probar la dirección de bucle invertido (127.0.0.1) y la dirección IP asignada.
  2. Compruebe la configuración en la interfaz de usuario para averiguar si el firewall se ha configurado inadvertidamente como Desactivado o Activado sin excepciones.
  3. Utilice los comandos netsh de información de configuración y estado para buscar opciones no deseadas que pudieran interferir con el comportamiento previsto.
  4. Determine el estado del servicio Firewall de Windows o Conexión compartida a Internet (ICS); para ello, escriba lo siguiente en un símbolo del sistema:
    sc query sharedaccess
    (El nombre breve de este servicio es SharedAccess.) Solucione los problemas de inicio del servicio mediante el código de salida Win32 si el servicio no se inicia.
  5. Determine el estado del controlador del firewall Ipnat.sys escribiendo lo siguiente en el símbolo del sistema:
    sc query ipnat
    Este comando también devuelve el código de salida Win32 del último intento de inicio. Si el controlador no se inicia, utilice los pasos de solución de problemas que se aplican a cualquier otro controlador.
  6. Si el controlador y el servicio están en ejecución y no aparecen errores relacionados en los registros de sucesos, utilice la opción Restaurar valores predeterminados en la pestaña Opciones avanzadas de las propiedades del Firewall de Windows para eliminar cualquier configuración que pudiera plantear problemas.
  7. Si el problema sigue sin resolverse, busque valores de configuración de directivas que pudieran causar el comportamiento inesperado. Para hacerlo, escriba GPResult /v > gpresult.txt en el símbolo del sistema y, a continuación, examine el archivo de texto resultante para buscar las directivas configuradas que estén relacionadas con el firewall.

Configuración de directiva de grupo del Firewall de Windows

Póngase en contacto con el administrador de la red a fin de averiguar si una opción de directiva de grupo impide que los programas y escenarios se ejecuten en su entorno corporativo.

Las opciones de directiva de grupo para el Firewall de Windows están ubicadas en las siguientes rutas de acceso en el complemento Editor de objetos de directiva de grupo:
  • Configuración del equipo/Plantillas administrativas/Red/Conexiones de red/Windows Firewall
  • Configuración del equipo/Plantillas administrativas/Red/Conexiones de red/Windows Firewall/Perfil de dominio
  • Configuración del equipo/Plantillas administrativas/Red/Conexiones de red/Windows Firewall/Perfil estándar

Desde estas ubicaciones, se pueden configurar las siguientes opciones de directiva de grupo:
  • Firewall de Windows: permitir omisión de Seguridad de protocolo Internet (IPSec)
  • Firewall de Windows: proteger todas las conexiones de red
  • Firewall de Windows: no permitir excepciones
  • Firewall de Windows: definir excepciones de programa
  • Firewall de Windows: permitir excepciones de programa local
  • Firewall de Windows: permitir excepción de administración remota
  • Firewall de Windows: permitir excepción del uso compartido de impresoras y archivos
  • Firewall de Windows: permitir excepciones de ICMP
  • Firewall de Windows: permitir excepción de Escritorio remoto
  • Firewall de Windows: permitir excepción de la estructura de Universal Plug and Plan (UpnP)
  • Firewall de Windows: prohibir notificaciones
  • Firewall de Windows: permitir registro
  • Firewall de Windows: prohibir la respuesta de unidifusión a solicitudes de difusión o multidifusión
  • Firewall de Windows: definir excepciones de puerto
  • Firewall de Windows: permitir excepciones de puerto local

Para obtener más información acerca de la configuración de directivas de grupo para el Firewall de Windows, descargue la siguiente documentación técnica:
Implementación de opciones del Firewall de Windows para Microsoft Windows XP con el Service Pack 2

Referencias

843090 Descripción de la característica Firewall de Windows del Service Pack 2 de Windows XP
892199 Determinadas plantillas administrativas de la Guía de seguridad de Windows XP pueden impedir que se inicie el servicio Firewall de Windows en Windows XP Service Pack 2
920074 No puede iniciar el servicio Firewall de Windows en Windows XP SP2
886257 Cómo afecta Firewall de Windows al entorno UPnP en Windows XP Service Pack 2

Si estos artículos no le ayudan a resolver el problema o si experimenta síntomas distintos de los que se describen en este artículo, busque más información en Microsoft Knowledge Base. Para realizar una búsqueda en Microsoft Knowledge Base, visite el siguiente sitio web de Microsoft:
http://support.microsoft.com/?ln=es
A continuación, escriba el texto del mensaje de error que aparece o escriba una descripción del problema en el campo de Buscar soporte técnico (en KB).

Propiedades

Id. de artículo: 875357 - Última revisión: martes, 02 de julio de 2013 - Versión: 4.0
La información de este artículo se refiere a:
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
Palabras clave: 
kbresolve kbgraphxlink kbnomt kbscreenshot kbtshoot kbhowtomaster KB875357

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com